لوگوی ارتباط افزار افق
بستن

بوت‌کیت BlackLotus توانایی دور زدن UEFI را دارد‌

بدافزار BlackLotus از مهمترین سد امنیتی سیستم عامل عبور می کند.

فهرست مطالب

BlackLotus چیست؟

محققان امنیت سایبری ESET اطلاعاتی اولیه در خصوص بدافزاری منتشر کرده‌اند که توانایی دور زدن حساس‌ترین ویژگی امنیتی سیستم‌ عامل‌ها را دارد. بدافزاری که توانایی رد شدن از UEFI Secure Boot را دارد از اکتبر سال 2022 به قیمت 5هزار دلار در فروم‌ها در حال فروش می‌باشد. بوت کیت BlackLotus توانایی آلوده کردن ویندوز 11 با آخرین وصله‌های امنیتی را نیز دارد و به عنوان اولین بدافزار UEFI در برابر جدیدترین مکانیسم‌های امنیتی مایکروسافت قد علم کرده است. UEFI نرم افزاری سطح-پایین است که هنگام روشن شدن کامپیوتر اجرا می‌شود و ترتیب توالی پروسه بوت را قبل از این که سیستم عامل اجرا شود به عهده دارد و به عنوان استخوان بندی پلتفرم، رابطی را ارائه می‌دهد که سیستم عامل از آن برای ارتباط با سخت افزار بهره می‌برد. نیلوفرسیاه با تزریق کلیدهای خود در UEFI و فعال نگه‌داشتن Secure Boot خود را به عنوان نرم افزار مورد اعتماد سیستم عامل ویندوز که فرآیند بوت را کنترل می‌کند معرفی کرده و توانایی کنترل سرویس های حساس ویندوز را خواهد داشت.

چرا تهدید BlackLotus بسیار جدی است؟

BlackLotus به عنوان اولین بوت‎‌کیت که توانایی دور زدن UEFI را دارد امنیت کلی سیستم عامل شما را زیر سوال می‌برد، این بدافزار می تواند ویژگی محافظت از داده BitLocker  ، آنتی ویروس مایکروسافت و HVCI ( که وظیفه محافظت در برابر اکسپلویت‌های کرنل ویندوز را بر عهده دارد) غیرفعال کرده و عملکرد کلی آنها را مختل کند. نیلوفرسیاه قبل از هرچیزی در پروسه بوت بارگزاری می‌شود حتی قبل از سیستم عامل. BlackLotus از آسیب پذیری یکساله‌ی (CVE-2022-21894)  استفاده می‌کند که با ارائه وصله های امنیتی به طور کامل برطرف نشده است و کماکان توسط این بدافزار مورد سوءاستفاده قرار می‌گیرد. با توجه به ویژگی‌های این بدافزار به زودی شاهد استفاده بیشتر مجرمان سایبری از آن برای آلوده کردن سیستم های رایانه ای به انواع باج افزار و تروجان ها خواهیم بود.

blacklotus introduction in hacking forum

بوت کیت BlackLotus  برای اولین بار در یک فروم هکری معرفی شد (تصویر بالا) و هدف آن را به عنوان یک بارگذار کننده HTTP یاد می‌کند که در واقع از آن برای دانلود بدافزارهای دیگر استفاده می‌شود و با توجه به حضور پایدار و دائمی در سیستم نیاز به آپدیت آن بسیار کم است و آنتی ویرس‌های بسیار کمی با توجه به ماهیت آن توانایی شناسایی و پاکسازی آن را خواهند داشت. در این پست اشاره شده است که حجم این بدافزار پس از نصب به 80کیلوبایت می‌رسد و 5 هزار دلار قیمت نهایی آن خواهد بود.

همچنین این بوت کیت دو بخش اصلی دارد: 1- ایجنت 2- پنل مدیریتی تحت وب. منظور از ایجنت همان بدافزار است که بروی رایانه قربانی نصب می‌شود و هکر از طریق پنل مدیریتی قادر به کنترل و ارسال دستورات به ایجنت خواهد بود. هدف اصلی این بدافزار دانلود پیلودها از سرور کنترلی و نصب آن برروی سیستم قربانی است این پیلودها بنابر دسترسی بالایی که در اختیار بدافزار می‌باشد در سطح کرنل ویندوز توانایی اجرا شدن دارند.

عملکرد BlackLotus

این حمله توسط یک فایل اجرایی installer شروع می‌شود که وظیفه بارگذاری و نصب فایل‌های بوت‌کیت در پارتیشن EFI را بر عهده دارد. همانطور که اشاره شد هکر با استفاده فایل های باینری قابل اعتمادی که آسیب‌پذیری CVE-2022-21894 در آن‌ها وجود دارد اقدام به نصب این بوت‌کیت می کنند . نرم افزارهای آسیب پذیر :

 Windows Hypervisor Loader, Windows Boot Manager, PE binaries and their custom Boot Configuration Data (BCD)

بعد از ریستارت شدن سیستم و انجام اکسپلویت مدنظر هکر قادر خواهد بود MOK خود را بروی سیستم نصب کنید و به این طریق قابلیت Secure Boot به بدافزار مدنظر اعتماد خواهد کرد. در این هنگام بوت کیت بروی سیستم لود شده و پس از یک ریبوت دیگر داریو کرنل مربوطه نصب شده و سایر ابزارهای آن به طبع از آن بروی سیستم بارگذاری و نصب خواهد شد و به این طریق بدافزار کنترل کل سیستم را حتی خود سیستم عامل ویندوز را نیز به دست خواهد گرفت.

چرا با ارائه وصله های امنیتی مشکل حل نشده است؟

بنابر گزارش ESET ، بدافزار BlackLotus توانایی کار کردن در سیستم‌های آنلاین و هم آفلاین را دارد، در نسخه آفلاین فایل‌های اجرایی آسیب پذیر همراه با خود installer هستند و در نسخه آنلاین از وبسایت اصلی مایکروسافت دانلود می‌شود! محققان به سه فایل زیر که توسط این بوت‌کیت مورد سوءاستفاده قرار می‌گیرد برخورد کرده‌اند:

  • https://msdl.microsoft.com/download/symbols/bootmgfw.efi/7144BCD31C0000/bootmgfw.efi
  • https://msdl.microsoft.com/download/symbols/bootmgr.efi/98B063A61BC000/bootmgr.efi
  • https://msdl.microsoft.com/download/symbols/hvloader.efi/559F396411D000/hvloader.Ef

وصله‌های ارائه شده توسط مایکروسافت برای پوشاندن تمام و کمال این آسیب پذیری کافی نبود، چرا که UEFI DBX نیاز به آپدیت شدن از سمت کمپانی سازنده دارند که حاوی کلید‌ها و هش باینری های غیر مجاز هستند. که در نتیجه هکرها با اطلاع از این موضوع و بارگذاری ورژن های آسیب پذیر از نرم افزارهای مورد اعتماد و آگاهی از عدم به روزرسانی UEFI DBX قادر هستند حتی با فعال بودن Secure Boot بدافزار خود را بروی سیستم نصب کنند.

جمع بندی

بوت کیت‌های UEFI بسیار کمیاب و نارایج هستند، با اینکه ایده اولیه این نوع از بوت کیت‌ها از سال 2013 همراه با بدافزار DreamBoot معرفی شد ولی تاکنون با تعداد بسیار کمی از این نوع برخورد کردیم به طوری که با لیست کوتاه زیر روبرو می‌شویم:

  • FinSPY: قسمتی از ابزار جاسوسی موسوم به FinFisher
  • ESPecter: بوت منیجر ویندوزی وصله شده ای که پارتیشن سیستمی EFI را آلود می‌کرد.
  • CosmidStrand/Spy Shadow Trojan: بدافزاری که در فریمور کمپانی‌های ASUS و Gigabyte مخفی میشد و با هربار بوت شدن ویندوز کدهای مخرب را به درون کرنل ویندوز تزریق می‌کرد.

اما در این بین، بوت کیت BlackLotus اولین بدافزاری است که به صورت عمومی منتشر شده و در اختیار گروه هکری خاصی نیست و عبور آن از سد Secure Boot توسط متخصصان و تیم های تحلیل بدافزار ثابت شده است. چنین بدافزارهایی تا مدت طولانی بدون آنکه متوجه آن شوید در سیستم شما باقی می‌مانند و با ویژگی هایی که دارند می‌توانند از شما جاسوسی کنند، اطلاعاتتان را بدزدند و یا شما را درگیر یک حمله باج افزاری کنند. با توجه به اینکه پیش از این گمان می رفت که برای دور زدن Secure Boot حتما دسترسی سخت افزاری به سیستم رایانه ای نیاز است، بدافزار BlackLotus بسیاری از کاربران رایانه‌ای که تا پیش از این از امنیت سیستم عامل خود مطمئن بودند، را شوکه خواهد کرد.